内网安全解决案例设计.ppt

网络现状 风险分析 产品设计原则 实用性和先进性原则 可靠性和安全性原则 灵活性和可扩充性原则 易用性原则 系统组成 安全管理模块 安全控制模块 安全审计模块 数据库模块 客户端代理软件 安全管理中心 系统结构 安全防护 主要突出主动防护的特点，强调系统自身的安全免疫力；整体思路是功过三层防护来保障终端的安全 行为审计 主要是通过从系统的底层WMI(Windows 2K/XP管理系统的核心)，对Windows的所有事件进行监控和审计，可以很方便的根据用户需要对相关事件（如文件拷贝、外设使用等）进行监控。 控制管理、身份认证 集中管理 为网管人员对人防内部网络的安全管理以及日常维护工作提供高效的操作平台，并为内网终端用户和网管人员提供方便的沟通渠道。 主要功能－安全防护 主要功能－监控控制 主要功能－安全审计 主要功能－集中管理 解决的问题 主动防御机制，解决传统内网安全系统防护方式的被动与滞后。 解决的问题 “安全专家” 内网安全管理系统 政企事业部 2010年01月 路由器 上级或同级政务网络 防火墙 核心交换机 子网1 子网2 子网N 服务器区 政务信息资源库 子网1 子网N 政务内网(物理隔离) 政务外网(逻辑隔离) Internet …… …… 病毒、木马 内部网络 信息窃密 内部网络滥用 内部非授权访问 便携机 控制模块 管理控制台 客户端代理软件 数据库模块 审计模块 审计控制台 补丁升级模块 WEB服务器 管理模块 安全防护 行为审计 监控控制 集中管理 身份认证 安全管理中心 主动安全检测与修复 主动安全检测与修复 主动安全检测与修复 一级防护 二级防护 三级防护 接入网络 非法用户拒绝入网 接入认证 合法用户 安全检查 不合格者 修复区 合格者 访问权限 办公网 涉密网 身份认证 进入系统 拒绝进入认证失败 安全内容过滤 病毒检测 系统安全评估 主动防御 个人防火墙 身份验证 安全防护 B E C D A F 监控控制 C D F A G H B E 流量监控 IP地址绑定 终端设备控制 远程控制 接入控制 访问控制 拨号上网控制 USB存储设备控制 行为审计 B E C D A USB记录审计： U盘的拨插、文件的复制、删除、重命名、修改 文件操作记录： 文件的复制、删除、修改、重命名 网络访问记录：访问网站URL、网站标题、访问时间 屏幕操作记录： 定时记录终端屏幕操作 打印记录： 打印文件名、纸张使用情况、打印时间 集中管理 C D F A G H B E 开机时段管理 USB Key管理 实时报警管理 软件分发 资产管理 补丁分发 策略管理 信息收集与发布 自动报警机制，自动发现并报告终端异常操作和违规操作。 身份认证机制，彻底代替传统“密码”登录，达到了真正意义上的网络信息安全管理硬性指标要求。 综合管理机制，有效控制终端行为操作，杜绝终端滥用系统或网络，提升管理员对网络的可管理性及工作效率。 强制策略机制，制定的安全策略采用网络技术手段自动/强制执行。 人性化设计机制，系统提供简易操作界面，使管理员更容易更方便对网络及终端系统进行管理。